Security
Dokument przeglądu bezpieczeństwa Wink
Dział zatytułowany „Dokument przeglądu bezpieczeństwa Wink”Ostatnia aktualizacja: 7 września 2024 r.
Wersja 1.0
Cel i zakres
Dział zatytułowany „Cel i zakres”W ramach naszego stałego zaangażowania w bezpieczeństwo i ochronę danych użytkowników przeprowadzamy regularne testy penetracyjne naszej aplikacji internetowej. Niniejszy dokument przedstawia nasze metodologie testowania, zawiera podsumowanie ustaleń i podkreśla nasze podejście do ciągłego doskonalenia bezpieczeństwa.
Niniejszy dokument będzie aktualizowany w miarę opracowywania nowych raportów lub występowania istotnych zmian.
Domeny w zakresie:
*.mrugnięcie.podróż
*.trippay.io
Częstotliwość i harmonogram testowania
Dział zatytułowany „Częstotliwość i harmonogram testowania”Nasze testy penetracyjne są przeprowadzane corocznie, a dodatkowe testy są planowane w razie potrzeby po istotnych aktualizacjach aplikacji lub infrastruktury. Ta regularna częstotliwość testów zapewnia, że wyprzedzamy rozwijające się zagrożenia i utrzymujemy bezpieczne środowisko.
Metodologie testowania
Dział zatytułowany „Metodologie testowania”Nasze testy penetracyjne są kompleksowe i obejmują szeroki zakres aspektów bezpieczeństwa, w tym między innymi:
- OWASP Top 10:Nasze testy są ukierunkowane na najpoważniejsze zagrożenia bezpieczeństwa, takie jak wstrzyknięcie kodu, zerwanie uwierzytelniania i atak typu cross-site scripting (XSS).
- Testowanie metodą czarnej skrzynki i szarej skrzynki:W zależności od zakresu nasz zespół wykorzystuje te metodologie do symulacji scenariuszy ataków zewnętrznych i wewnętrznych.
- Testowanie automatyczne i ręczne:Używamy Burp Suite Pro, wiodącego zestawu narzędzi do testowania bezpieczeństwa, aby przeprowadzać automatyczne skanowanie bezpieczeństwa i wspomagać ręczne techniki testowania w celu identyfikowania złożonych luk w zabezpieczeniach i uzyskania najlepszego możliwego pokrycia. Do bardziej szczegółowej identyfikacji luk w zabezpieczeniach używane są niektóre specjalistyczne narzędzia, np. SQLmap.
Podsumowanie ustaleń
Dział zatytułowany „Podsumowanie ustaleń”Poniżej przedstawiamy ogólne podsumowanie naszego najnowszego raportu z testów penetracyjnych:
- Łączna liczba zidentyfikowanych luk:2
- Dystrybucja stopnia zagrożenia:
- Krytyczny: 2
- Rodzaje wykrytych luk:
- Złamana kontrola dostępu
- Niebezpieczny projekt
Szczegółowe ustalenia można znaleźć w pełnym raporcie.
Oceny ryzyka i wpływ
Dział zatytułowany „Oceny ryzyka i wpływ”Obie znalezione luki w zabezpieczeniach są oceniane jako krytyczne, ponieważ obie mogły mieć poważne skutki finansowe. Pierwsza z nich umożliwiła złośliwemu uwierzytelnionemu użytkownikowi przejęcie kontroli nad kontem płatniczym Trippay innej firmy. Druga luka umożliwiła złośliwemu użytkownikowi modyfikację kwoty płatności wymaganej do rezerwacji.
Działania naprawcze i łagodzące
Dział zatytułowany „Działania naprawcze i łagodzące”Podjęliśmy następujące kroki w celu usunięcia zidentyfikowanych luk:
- Natychmiastowe poprawki:Krytyczne luki zostały załatane w ciągu 48 godzin od ich wykrycia.
- Przegląd i utwardzanie kodu:Zespół programistów wdrożył dodatkowe środki bezpieczeństwa w oparciu o nasze zalecenia.
Ciągłe doskonalenie
Dział zatytułowany „Ciągłe doskonalenie”Testowanie penetracyjne jest częścią naszej szerszej strategii ciągłego doskonalenia bezpieczeństwa. Wyniki każdego testu stanowią podstawę naszych zasad bezpieczeństwa, wpływają na praktyki rozwojowe i napędzają ulepszenia w naszej architekturze bezpieczeństwa.
Ekspertyza zespołu
Dział zatytułowany „Ekspertyza zespołu”Nasze testy penetracyjne są przeprowadzane przez wewnętrznego specjalistę z dużym doświadczeniem w różnych projektach i branżach. Korzystając z wiodących narzędzi i metod, nasz ekspert zapewnia, że nasza aplikacja jest dokładnie testowana pod kątem najnowszych zagrożeń bezpieczeństwa.
Zaangażowanie w bezpieczeństwo
Dział zatytułowany „Zaangażowanie w bezpieczeństwo”Jesteśmy oddani utrzymywaniu bezpiecznego środowiska aplikacji dla naszych użytkowników i interesariuszy. Nasze stałe wysiłki w zakresie testowania i ulepszania bezpieczeństwa pokazują nasze zaangażowanie w ochronę przed ewoluującymi zagrożeniami.
Raportuj dostęp i aktualizacje
Dział zatytułowany „Raportuj dostęp i aktualizacje”Ten dokument będzie stale aktualizowany w miarę wydawania nowych raportów z testów penetracyjnych. Aby uzyskać dostęp do pełnego raportu, skontaktuj się z nami za pośrednictwem poniższego adresu e-mail. Przyszłe aktualizacje będą obejmować nowo zidentyfikowane luki w zabezpieczeniach, działania naprawcze i dostosowania naszych metodologii testowania.
Jeśli masz dalsze pytania, skontaktuj się z nami pod adresem [email protected].